Telemedizin Sicherheitslücken im MQTT-Protokoll

Von Natalie Ziebolz

Der umfassende Schutz der Patientendaten spielt im Bereich der Telemedizin eine wichtige Rolle. Eine aktuelle Untersuchung von Kaspersky zeigt hier jedoch erhebliche Mängel. Das Problem: Ausgerechnet das weitverbreitete MQTT-Protokoll weist zahlreiche Sicherheitslücken auf.

Anbieter zum Thema

Kaspersky entdeckt 33 Sicherheitslücken im Datenübertragungsprotokoll mobiler Gesundheits-Geräte
Kaspersky entdeckt 33 Sicherheitslücken im Datenübertragungsprotokoll mobiler Gesundheits-Geräte
(© Robert Kneschke - stock.adobe.com)

Die vergangenen Pandemie-Jahre haben die Digitalisierung im Gesundheitssektor schnell vorangebracht.92,7 Prozent der europäischen Gesundheitsdienstleister haben laut einer aktuellen Kaspersky-Studie bereits telemedizinische Funktionen implementiert. „Dabei geht es nicht nur um die Kommunikation mit dem Arzt per Videosoftware. Es betrifft eine ganze Reihe komplexer, sich schnell entwickelnder Technologien und Produkte, darunter spezialisierte Anwendungen, tragbare Geräte, implantierbare Sensoren und cloudbasierte Datenbanken“, erklärt Maria Namestnikova, Leiterin des russischen Global Research and Analysis Teams (GReAT) bei Kaspersky.

Mit den Funktionen nehmen jedoch auch die Sicherheitsrisiken zu. Vor allem das weitverbreitete MQTT-Protokoll scheint immer wieder Schwachstellen aufzuweisen, durch welche Angreifer Daten abfangen können.

MQTT anfällig für Man-in-the-Middle-Angriffe

Da es einfach zu handhaben ist, wird das MQTT-Protokoll nicht nur für die Übertragung von Daten von tragbaren Geräten und Sensoren eingesetzt, sondern auch in fast allen anderen intelligenten Gadgets. Das Problem: die Authentifizierung ist lediglich optional, eine Verschlüsselung wird selten genutzt. Das macht das Protokoll besonders anfällig für Man-in-the-Middle-Angriffe. Dabei schleusen sich Angreifer während der Datenübertragung über das Internet in die Kommunikation ein und können in diesem Fall hochsensible medizinische und persönliche Informationen abgreifen. Und Schwachstellen gibt es einige: Seit 2014 wurden insgesamt 90 entdeckt. Allein 2021 kamen 33 neue Sicherheitslücken hinzu, darunter 18 kritische. Behoben wurden bis heute jedoch nur wenige.

Schwachstellen bei Wearable-Geräten

Ähnlich sieht es mit der beliebten Qualcomm Snapdragon Wearable-Plattform aus: Seit der Einführung identifizierte Kaspersky über 400 Schwachstellen. Doch auch hier wurden nicht alle gepatcht. So sind unter anderem noch Sicherheitslücken aus dem Jahr 2020 vorhanden. Dadurch können Angreifer nicht nur auf die Gesundheitsdaten der Nutzer zugreifen, sondern sie sogar stalken. Schließlich zeichnen die tragbaren Geräte auch den Standort und die Bewegung der Nutzer auf.

Patientendaten richtig schützen

Gesundheitsdienstleister haben jedoch einige Möglichkeiten, um den Schutz ihrer Patientendaten zu gewährleisten. „Viele Krankenhäuser nutzen immer noch ungeprüfte Dienste von Drittanbietern, um Patientendaten zu speichern, und Schwachstellen in tragbaren Geräten und Sensoren im Gesundheitswesen bleiben offen“, so Namestnikova. „Bevor solche Geräte zum Einsatz kommen, sollten Unternehmen sich so umfassend wie möglich über deren Sicherheitsniveau informieren, um die eigenen Daten und die der Patienten zu schützen.“ Darüber hinaus sollte die Datenübertragung von Telemedizin-Apps auf ein Minimum reduziert werden. Ist beispielsweise die Standortübertragung nicht notwendig, sollte diese deaktiviert werden. Zudem sollten die Standardpasswörter immer geändert und – falls das Gerät es zulässt – eine Verschlüsselung genutzt werden.

Datensicherheit ist eine Grundvoraussetzung für die weitere Etablierung der Telemedizin. Dabei handelt es sich um eine geteilte Verantwortung. Gesetzgeber, Anbieter und Anwender der Telemedizin müssen gleichermaßen auf mehr Sicherheit hinwirken. Jeder Beteiligte kann einen Beitrag leisten“, ergänzt Dr. Peter Zeggel, Gründer und Geschäftsführer des deutschen Telemedizin-Unternehmens arztkonsultation ak GmbH.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48022454)